RemoteApp и Remote Desktop вход на терминальный сервер без ввода логина и пароля

  • 11.02.2015
  • 16 408
  • 0
  • 19.01.2020
  • 1
  • 1
  • 0
RemoteApp и Remote Desktop вход на терминальный сервер без ввода логина и пароля

В серверных версиях ОС Windows есть замечательная возможность использовать для подключений учетные данные, введенные пользователем ранее, при логине на свой компьютер. Таким образом им не приходится каждый раз вводить логин и пароль при запуске опубликованного приложения или же просто удаленного рабочего стола. Называется эта штука Single Sign On с использованием технологии CredSSP (Credential Security Service Provider).

Описание

Для того, чтобы это работало, должны быть соблюдены следующие условия:

  • Терминальный сервер и клиент, который к нему подключается, должны находится в домене.
  • Терминальный сервер должен быть сконфигурирован на ОС Windows Server 2008Windows Server 2008 R2 или более старшей версии.
  • На клиентском компьютере должна быть установлена ОС: Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7, Windows 8 или Windows Server 2008 R2.

Для Windows XP SP3, потребуются дополнительные телодвижения. Необходимо установить фикс, который позволит через групповые политики настраивать параметры и для Windows XP SP3.
Этот фикс (MicrosoftFixit50588.msi) можно скачать, как с официального сайта, так и с нашего сайта:

MicrosoftFixit50588

Сначала настраиваем на сервере терминалов уровень безопасности в режим "Согласование":

CredSSP1

Далее настраиваем политику: “Конфигурация Компьютера” -“Административные шаблоны” - “Система” - “Передача учетных данных”

В ней настраиваем 2 параметра: Разрешить передачу учетных данных, установленных по умолчанию и Разрешить делегирование учетных данных, установленных по умолчанию, с проверкой подлинности сервера "только NTLM"

Разрешить делегирование учетных данных, установленных по умолчанию, с проверкой подлинности сервера "только NTLM" - настраивать нужно только в том случае, если аутентификация на терминальном сервере не происходит с помощью Kerberos или SSL-сертификата.

CredSSP2

CredSSP3

Вписываем туда сервер (серверы), на которые мы хотим пускать пользователей без повторного ввода логина и пароля. Вписывать можно по маске, а можно и по отдельности. В справке подробно написано.

CredSSP4

После этого, применяем политику на нужном компьютере(-ах) и проверяем, чтобы пользователей пускало без ввода логина и пароля на указанные в политиках выше терминальные серверы.

Была ли эта статья Вам полезна?

Добавить комментарий

Ваш адрес email не будет опубликован.

Напоминаем Вам, что Ваше сообщение будет опубликовано только после проверки администратором сайта. Обычно это занимает 1-2 рабочих дня.